sudo详解以及我们生产库上常用的sudo设置

最新推荐文章于 2024-06-14 15:41:17 发布
最新推荐文章于 2024-06-14 15:41:17 发布
阅读量977 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiwi_kid/article/details/38409863
版权
编辑配置文件命令:visudo
※注意:编辑sudo的配置文件/etc/sudoers是一般不要直接使用vi(vi /etc/sudoers)去编辑,因为sudoers配置有一定的语法,直接用vi编辑保存系统不会检查语法,如有错也保存了可能导致无法使用sudo工具,最好使用visudo命令去配置。虽然visudo也是调用vi去编辑,但是保存时会进行语法检查,有错会有提示。
默认配置文件位置:/etc/sudoers
[root@localhost ~]# cat /etc/sudoers
# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults specification
# Runas alias specification
# User privilege specification
root ALL=(ALL) ALL
# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
# Samples
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now
[root@localhost ~]#
可以用visudo编辑sudoers配置文件,不过也可以直接通过修改sudoers文件实现,不过编辑之前最好看一下它的sample.sudoers文件,里面有一个相当详细的例子可以参考。
#第一部分:用户定义,将用户分为FULLTIMERS、PARTTIMERS和WEBMASTERS三类。
User_Alias FULLTIMERS = millert, mikef, dowdy
User_Alias PARTTIMERS = bostley, jwfox, crawl
User_Alias WEBMASTERS = will, wendy, wim
#第二部分,将操作类型分类。
Runas_Alias OP = root, operator
Runas_Alias DB = oracle, sybase
#第三部分,将 主机分类。这些都是随便分得,目的是为了更好地管理。
Host_Alias SPARC = bigtime, eclipse, moet, anchor :\
SGI = grolsch, dandelion, black :\
ALPHA = widget, thalamus, foobar :\
HPPA= boa, nag, python
Host_Alias CUNETS = 128.138.0.0/255.255.0.0
Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0
Host_Alias SERVERS = master, mail, www, ns
Host_Alias CDROM = orion, perseus, hercules
#第四部分,定义命令和命令地路径。命令一定要使用 绝对路径,避免其他目录的同名命令被执行,造成安全隐患 ,因此使用的时候也是使用 绝对路径!
Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\
/usr/sbin/restore, /usr/sbin/rrestore
Cmnd_Alias KILL = /usr/bin/kill
Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/ lprm
Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown
Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt
Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot
Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \
/usr/local/bin/tcsh, /usr/bin/rsh, \
/usr/local/bin/zsh
Cmnd_Alias SU = /usr/bin/su
# 这里是针对不同的用户采用不同地策略,比如默认所有的syslog直接通过auth 输出。FULLTIMERS组不用看到lecture(第一次运行时产生的消息);用户millert使用sudo时不用输入密码;以及logfile的 路径在/var/log/sudo.log而且每一行日志中必须包括年。
Defaults syslog=auth
Defaults:FULLTIMERS !lecture
Defaults:millert !authenticate
Defaults@SERVERS log_year, logfile=/var/log/sudo.log
#root和wheel组的成员拥有任何权利。 如果想对一组用户进行定义,可以在组名前加上%,对其进行设置.
root ALL = (ALL) ALL
%wheel ALL = (ALL) ALL
#FULLTIMERS可以运行任何命令在任何主机而不用输入自己的密码
FULLTIMERS ALL = NOPASSWD: ALL
#PARTTIMERS可以运行任何命令在任何 主机,但是必须先验证自己的密码。
PARTTIMERS ALL = ALL
#jack可以运行任何命令在定义地CSNET(128.138.243.0, 128.138.242.0和128.138.204.0/24的子网)中,不过注意前两个不需要匹配 子网掩码,而后一个必须匹配掩码。
jack CSNETS = ALL
#lisa可以运行任何命令在定义为CUNETS(128.138.0.0)的子网中主机上。
lisa CUNETS = ALL
#用户operator可以运行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有命令。
operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\
/usr/oper/bin/
#joe可以运行su operator命令
joe ALL = /usr/bin/su operator
#pete可以为除root之外地用户修改密码。
pete HPPA= /usr/bin/passwd [A-z]*, !/usr/bin/passwd root
#bob可以在SPARC和SGI机器上和OP用户组中的root和operator一样运行如何命令。
bob SPARC = (OP) ALL : SGI = (OP) ALL
#jim可以运行任何命令在biglab网络组中。Sudo默认“+”是一个网络组地前缀。
jim +biglab = ALL
#在secretaries中地用户帮助管理打印机,并且可以运行adduser和rmuser命令。
+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser
#fred能够直接运行oracle或者sybase数据库。
fred ALL = (DB) NOPASSWD: ALL
#john可以在ALPHA机器上,su除了root之外地所有人。
john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*
#jen可以在除了SERVERS主机组的机器上运行任何命令。
jen ALL, !SERVERS = ALL
#jill可以在SERVERS上运行/usr/bin/中的除了su和shell命令之外的所有命令。
jill SERVERS = /usr/bin/, !SU, !SHELLS
#steve可以作为普通用户运行在CSNETS主机上的/usr/local/op_commands/内的任何命令。
steve CSNETS = (operator) /usr/local/op_commands/
#matt可以在他的个人工作站上运行kill命令。
matt valkyrie = KILL
#WEBMASTERS用户组中的用户可以以www的用户名运行任何命令或者可以su www。
WEBMASTERS www = (www) ALL, (root) /usr/bin/su www
#任何用户可以mount或者umount一个cd-rom在CDROM主机上,而不用输入密码。
ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\
/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM
 

参数

-V
显示版本编号
-h
会显示版本编号及指令的使用方式说明
-l
显示出自己(执行 sudo 的使用者)的权限
-v
因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码
-k
将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)
-b
将要执行的指令放在背景执行
-p
prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称
-u
username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)
-s
执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell
-H
将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是 系统管理者 root )
command
要以 系统管理者身份(或以 -u 更改为其他人)执行的指令

范例

1. sudo -l 列出目前的权限
若用户不在sudoers中会提示不能运行sudo命令,存在则会显示详细的权限。
2. sudo -V 列出 sudo 的版本资讯
3. 指令名称:sudoers(在fc5下显示不能找到此命令,但用man可以查到其用法。)用来显示可以使用sudo的用户
# User privilege specification
root ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
下面对以上配置做简要说明:
第一项配置的作用,是允许root用户使用sudo命令变成系统中任何其它类型的用户。第二个配置规定,管理组中的所有成员都能以root的身份执行所有命令。因此,在默认安装的Ubuntu系统中,要想作为root身份来执行命令的话,只要在sudo后面跟上欲执行的命令即可。
我们用一个实例来详细解释/etc/sudoers文件的配置语法,请看下面的例子:
jorge ALL=(root) /usr/bin/find, /bin/rm
上面的第一栏规定它的适用对象:用户或组,就本例来说,它是用户jorge。此外,因为系统中的组和用户可以重名,要想指定该规则的适用对象是组而非用户的话,组对象的名称一定要用 百分号%开头。
第二栏指定该规则的适用 主机。当我们在多个系统之间部署sudo环境时,这一栏格外有用,这里的ALL代表所有 主机。但是,对于桌面系统或不想将sudo部署到多个系统的情况,这一栏就换成相应的 主机名
第三栏的值放在括号内,指出第一栏规定的用户能够以何种身份来执行命令。本例中该值设为root,这意味着用户jorge能够以root用户的身份来运行后面列出的命令。该值也可以设成 通配符ALL,jorge便能作为系统中的任何用户来执行列出的命令了。
最后一栏(即/usr/bin/find,/bin/rm)是使用逗号分开的命令表,这些命令能被第一栏规定的用户以第三栏指出的身份来运行它们。本例中,该配置允许jorge作为 超级用户运行/usr/bin/find和 /bin/rm这两个命令。需要指出的是,这里列出的命令一定要使用绝对路径。
进一步:
我们可以利用这些规则为系统创建具体的角色。例如,要让一个组负责帐户管理,你一方面不想让这些用户具备完全的root访问权限,另一方面还得让他们具有增加和删除用户的权利,那么我们可以在系统上创建一个名为accounts的组,然后把那些用户添加到这个组里。之后,再使用visudo为/etc/sudoers添加下列内容: %accounts ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel, /usr/sbin/ usermod
现在好了,accounts组中的任何成员都能运行useradd、userdel和 usermod命令了。如果过一段时间后,您发现该角色还需要其他工具,只要在该表的尾部将其添上就行了。这样真是方便极了!
需要注意的是,当我们为用户定义可以运行的命令时,必须使用完整的命令路径。这样做是完全出于安全的考虑,如果我们给出的命令只是简单的userad而非/usr/sbin/useradd,那么用户有可能创建一个他自己的 脚本,也叫做useradd,然后放在它的本地路径中,如此一来他就能够通过这个名为useradd的本地 脚本,作为root来执行任何他想要的命令了。这是相当危险的!
sudo命令的另一个便捷的功能,是它能够指出哪些命令在执行时不需要输入密码。这很有用,尤其是在非交互式脚本中以 超级用户的身份来运行某些命令的时候。例如,想要让用户作为 超级用户不必输入密码就能执行kill命令,以便用户能立刻杀死一个失控的进程。为此,在命令行前边加上NOPASSWD:属性即可。例如,可以在/etc/sudoers文件中加上下面一行,从而让jorge获得这种权力: jorge ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall
这样一来,jorge就能运行以下命令,作为root用户来杀死失控的rm进程了。 jorge@ubuntu:~$ sudo killall rm
  
Defaults timestamp_timeout=120
Cmnd_Alias NET=/usr/sbin/tcpdump, /sbin/ifconfig , /bin/netstat , /usr/sbin/ss
Cmnd_Alias PROC=/bin/nice, /usr/bin/top, /bin/ps, /usr/bin/vmstat , /sbin/service, /sbin/chkconfig
Cmnd_Alias FILE=/bin/ls ,/bin/vi, /usr/bin/vim, /bin/cat, /bin/grep, /bin/sed, /bin/more,  /usr/bin/head, /usr/bin/tail,  /usr/bin/find, /bin/tar, /usr/bin/less, /usr/bin/locate, /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias SHUT=/sbin/reboot, /sbin/shutdown

%dba    ALL=(ALL) NOPASSWD: ALL

bigclouder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统编程学习 NO.7 ——sudo配置、编译器的使用
sinzz的博客
06-14 1645
本文简单介绍了sudo的配置相关的问题,主要介绍了gcc/g++编译器的使用以及程序翻译的过程。
6 个超实用的 Sudo 命令使用技巧
easylife206的专栏
03-12 2901
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Sudo 授权需谨慎,否则亲人两行泪!sudo 表示 “superuser do”,它允许已验证的用户以其...
20240614 vscode sudo: 有效用户 ID 不是 0,/usr/bin/sudo 位于一个设置了“nosuid”选项的文件系统或没有 root 权限的 NFS 文件系统中吗?
最新发布
HITORANGE的博客
06-14 272
重启vscode即可。
sudo配合syslog日志审计记录用户操作
weixin_34310127的博客
12-08 398
sudo配合syslog日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作一、安装sudo命令,syslog服务(centos6.5为rsyslog服务)[root@BaseServer ~]# rpm -qa |egrep "sudo|syslog"rsyslog-5.8.10-8.el6.i686sudo-1.8.6...
sudo的使用及配置
风二中的博客
04-13 3098
sudo命令  如果普通用户加入了sudo列表(visudo),则执行命令时如果普通用户的$PASH没有加入此命令就不能执行,并且执行时需要加在命令sudo 并且绝对路径执行才会有效果 sudoers安全策略的默认密码提示超时为5分钟。即两次sudo操作间隔在5min内则不用重新输入密码,否则需重输。 sudo -l #列出当前可执行内容 [tom@ton ~]$sudo -l [sudo] password for tom: ... User tom
sudo配置文件/etc/sudoers详解及实战用法
01-04 7247
一、sudo执行命令的流程 将当前用户切换到超级用户下,或切换到指定的用户下, 然后以超级用户或其指定切换到的用户身份执行命令,执行完成后,直接退回到当前用户。 具体工作过程如下: 当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 –>确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 –>若密码输入成功,则开始执行sudo后续的命令 二、不需要输入密码的情况 1.root执行sudo时不需要输入密码(eudoers文件中有
sudo命令详解
01-09
  sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,shutdown、init等等。这样不仅减少了root用户的登陆和管理时间,同样也提高了...
Linux sudo命令用法详解
01-09
Linux sudo命令 Linux sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。 使用权限:在 /etc/sudoers 中有出现的使用者。 语法sudo -V sudo -h sudo -l sudo -v sudo ...
linux sudo命令详解
09-15
本文将深入解析`sudo`命令的用法、配置以及相关的系统文件。 首先,`sudo`的基本语法是`sudo [-options] [command]`,其中`-options`是可选的参数,如`-b`用于后台执行,`-l`列出用户可执行的命令,`-u`指定以哪个...
linux的sudo详解
09-10
sudo.pdf
linux系统sudo命令详解
09-15
1. **权限控制**:`sudo`可以精确控制哪个用户能在哪台主机上运行哪些命令,这通过配置文件/etc/sudoers实现。 2. **日志记录**:`sudo`会记录所有通过它执行的命令,这些记录可以发送到中央日志服务器,便于监控和...
Linux下sudo配置和用法
花落花开,春去秋来!
12-12 3475
Linux环境:CentOS 6.7 结构说明 可以通过编辑文件/etc/sudoers来配置,通常使用visudo命令来进行修改,因为如果你修改的格式不符合它会进行提示。接下来就通过一个格式来了解它 = [operator user> []] chenmh localhost = (root) NOPASSWD: /bin/mkdir test :指的是具体
Linux 系统中的超级权限的控制
兵无常势 水无常形
03-15 1898
作者:北南南北赞助: eTony,pandonny,懒猫, Arch来自:LinuxSir.Org摘要: 超级用户是系统最高权限的拥有者,是系统管理唯一的胜任者;由于权限的超级并且达到无所不能的地步,如果管理不擅,必会对系统安全造成威胁。 除了尽可能的避免用直接用超级用户root登录系统外,我们还要学会在普通用户下临时切换到超级用户root下完成必要的系统管理工作;从用户管理和系统安全角度来说是极
理解/etc/sudoers配置文件的格式
最实用的Linux博客
02-14 2475
 原贴: http://hi.baidu.com/nkhzj/blog/item/c0030908d93bd935e9248852.htmlsudo命令对于普通用户来说非常方便。但root需要妥善地设置/etc/sudoers文件,才能在满足用户方便性的同时保证系统的安全性。-------下面文章转载自网络-----------# User privilege specif
sudoers的深入介绍与用户权限控制
weixin_34174422的博客
09-26 486
linux是多用户多任务的分时操作系统,共享该系统的用户往往不只一个。但由于root账户密码的敏感性和root账号的无限制权限, 有必要通过useradd创建一些普通用户, 只让他们拥有不完全的权限; 如有必要,再来申请执行一些root权限的指令。sudo就是来解决这个需求的。sudo命令的执行流程是: 当前用户转换到root, 然后以root身份执行命令, 执行完成后, 直...
su sudo gksudo-转
xp5xp6的博客
01-09 892
这几个命令的相同点和不同点... login shell & non-login shell login shell: 登录shell, 会执行.bash_profile和.bashrc, 需要用户名和密码, Ctrl+Alt+F1登录后就是一个登录shell non-login shell: 非登录shell, 执行.bashrc, 不执行.bash_profile, 需要已经
sudoers配置详解
yonggeit的博客
06-03 3399
sudo工作流程 基本格式 who whereHostrunas commond谁通过哪些主机可以通过哪个身份运行哪些命令 参数详解 who runas whereHost commond 别名格式 Alias_Type NAMEitem1item2item3 Alias_Type visudo 带语法检查的编辑 demo sudo 命令 日志文件  把sudo日志文件加入系统日志 指定日志文件路
linux基本功系列之sudo命令实战一
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
01-30 5550
linux基本功系列之sudo命令实战一
sudo(ers)指南, sudoers配置详解
日积月累终会滴水穿石
03-20 7374
1.  关于 Sudo 权限的授予 app-admin/sudo包允许系统管理员授予其他用户执行一些程序的权限,正常情况下,非系统管理员用户不具备这些程序的执行权限。与设置程序setuid位域方式不同的是,sudo在谁具有某条命令的执行权限以及何时执行方面可以实现更为严密地控制。 使用sudo可以制作一份清晰的列表来申明哪些用户具有执行哪一个程序的权限。而如果采取设置程序setuid位的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值